🔒
🏠 SIO2A › Bloc 2 › Réseaux

Architecture Wifi Sécurisée

SIO2A Bloc 2 VLAN Wi-Fi DHCP ACL
📋 Table des matières
Objectifs Plan d'adressage ① Configuration du Switch 1.1 Création des VLANs 1.2 Liens Trunk 1.3 Ports utilisateurs 1.4 Interface de management ② Configuration du Routeur 2.1 Sous-interfaces (Router-on-a-Stick) 2.2 NAT/PAT ③ Configuration DHCP ④ ACL — Contrôle inter-VLAN ⑤ Point d'Accès Cisco AP1231G ⑥ Vérifications et Tests
1 Switch 2 Routeur 3 DHCP 4 ACL 5 Point d'Accès 6 Tests

🎯 Objectifs

À l'issue de cette procédure, vous serez capable de :

🖥️
Matériel requis : Bornes Cisco AP1231G · Clés USB 802.11n · Portables Wi-Fi · Switch Cisco · Routeur Cisco

📊 Plan d'adressage

VLAN Nom Réseau Passerelle SSID Wi-Fi Chiffrement
10 🏭 Production 192.168.10.0/24 192.168.10.254 Production TKIP
20 🏢 Direction 192.168.20.0/24 192.168.20.254 Direction AES
100 👥 Invité 192.168.100.0/24 192.168.100.254 Invité
ℹ️
VLAN natif = VLAN 10  ·  VLAN par défaut = VLAN 1  ·  Serveur statique : 192.168.5.254/24
Adresse d'administration switch : IP statique libre sur VLAN 10 (Production)

🔀 ① Configuration du Switch

1.1 — Création des VLANs

Passer en mode configuration globale et créer les trois VLANs avec leur nom logique.

Cisco IOS 
! Accès au mode de configuration
Switch> enable
Switch# configure terminal

! Création des VLANs et nommage
Switch(config)# vlan 10
Switch(config-vlan)# name Production
Switch(config-vlan)# vlan 20
Switch(config-vlan)# name Direction
Switch(config-vlan)# vlan 100
Switch(config-vlan)# name Invite
Switch(config-vlan)# exit
Les VLANs assurent la séparation des services au niveau couche 2. Chaque VLAN constitue un domaine de broadcast isolé.

1.2 — Configuration des liens Trunk

Fa0/1 est relié au routeur. Fa0/24 est relié au point d'accès. Le mode trunk transporte plusieurs VLANs via l'encapsulation 802.1Q.

Cisco IOS 
! Trunk vers le routeur (Fa0/1)
Switch(config)# interface fa0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk native vlan 10
Switch(config-if)# switchport trunk allowed vlan 10,20,100
Switch(config-if)# no shutdown

! Trunk vers le point d'accès (Fa0/24)
Switch(config)# interface fa0/24
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk native vlan 10
Switch(config-if)# switchport trunk allowed vlan 10,20,100
Switch(config-if)# no shutdown
Switch(config-if)# exit
⚠️
Seuls les VLANs 10, 20 et 100 sont autorisés sur les trunks. Le VLAN natif est explicitement défini à VLAN 10 (Production) conformément au cahier des charges.

1.3 — Affectation des ports utilisateurs

Chaque plage de ports est dédiée à un service. Le mode access limite le port à un unique VLAN. portfast accélère la connexion des postes finaux.

Cisco IOS 
! Ports VLAN 10 — Production (Fa0/2 à Fa0/5)
Switch(config)# interface range fastEthernet 0/2-5
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
Switch(config-if-range)# spanning-tree portfast

! Ports VLAN 20 — Direction (Fa0/6 à Fa0/11)
Switch(config)# interface range fastEthernet 0/6-11
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 20
Switch(config-if-range)# spanning-tree portfast

! Ports VLAN 100 — Invités (Fa0/12 à Fa0/17)
Switch(config)# interface range fastEthernet 0/12-17
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 100
Switch(config-if-range)# spanning-tree portfast
Switch(config-if-range)# exit

1.4 — Interface de management

L'interface SVI du VLAN 10 (Production) permet l'administration distante du switch.

Cisco IOS 
! Adresse IP d'administration sur VLAN 10 (Production)
Switch(config)# interface vlan 10
Switch(config-if)# ip address 192.168.10.100 255.255.255.0
Switch(config-if)# no shutdown

! Passerelle par défaut (indispensable pour accès depuis autres VLANs)
Switch(config)# ip default-gateway 192.168.10.254

Switch(config)# end
Switch# write memory
🔍 Vérifications Switch
Verification
Switch# show vlan brief
Switch# show interfaces trunk
Switch# show ip interface brief

🌐 ② Configuration du Routeur

📌
Architecture Router-on-a-Stick : une seule interface physique reliée au switch via trunk, avec une sous-interface par VLAN. Chaque IP configurée devient la passerelle du VLAN correspondant.

2.1 — Sous-interfaces (routage inter-VLAN)

Cisco IOS 
Router> enable
Router# configure terminal

! Activation de l'interface physique
Router(config)# interface fa0/1
Router(config-if)# no shutdown

! Sous-interface VLAN 10 — Production (VLAN natif)
Router(config)# interface fa0/1.10
Router(config-subif)# encapsulation dot1Q 10 native
Router(config-subif)# ip address 192.168.10.254 255.255.255.0

! Sous-interface VLAN 20 — Direction
Router(config)# interface fa0/1.20
Router(config-subif)# encapsulation dot1Q 20
Router(config-subif)# ip address 192.168.20.254 255.255.255.0

! Sous-interface VLAN 100 — Invités
Router(config)# interface fa0/1.100
Router(config-subif)# encapsulation dot1Q 100
Router(config-subif)# ip address 192.168.100.254 255.255.255.0
Router(config-subif)# exit

2.2 — Configuration NAT/PAT

Le NAT/PAT permet à tous les VLANs d'accéder à Internet via l'interface WAN du routeur.

Cisco IOS 
! Interface WAN (côté Internet) — nat outside
Router(config)# interface fa0/0
Router(config-if)# ip nat outside
Router(config-if)# no shutdown

! Interfaces internes — nat inside
Router(config)# interface fa0/1.10
Router(config-subif)# ip nat inside
Router(config)# interface fa0/1.20
Router(config-subif)# ip nat inside
Router(config)# interface fa0/1.100
Router(config-subif)# ip nat inside

! ACL correspondant aux réseaux internes
Router(config)# access-list 1 permit 192.168.10.0 0.0.0.255
Router(config)# access-list 1 permit 192.168.20.0 0.0.0.255
Router(config)# access-list 1 permit 192.168.100.0 0.0.0.255

! Activation du PAT (overload) sur l'interface WAN
Router(config)# ip nat inside source list 1 interface fa0/0 overload

Router(config)# end
Router# write memory

📦 ③ Configuration DHCP

Le routeur est serveur DHCP pour les trois VLANs. Les adresses de passerelle sont exclues du pool pour éviter tout conflit d'adresse. Le bail est fixé à 10 jours.

Cisco IOS 
Router# configure terminal

! Exclusion des adresses réservées (passerelles)
Router(config)# ip dhcp excluded-address 192.168.10.254
Router(config)# ip dhcp excluded-address 192.168.20.254
Router(config)# ip dhcp excluded-address 192.168.100.254

! Pool VLAN 10 — Production
Router(config)# ip dhcp pool vlan10
Router(dhcp-config)# network 192.168.10.0 255.255.255.0
Router(dhcp-config)# default-router 192.168.10.254
Router(dhcp-config)# lease 10

! Pool VLAN 20 — Direction
Router(config)# ip dhcp pool vlan20
Router(dhcp-config)# network 192.168.20.0 255.255.255.0
Router(dhcp-config)# default-router 192.168.20.254
Router(dhcp-config)# lease 10

! Pool VLAN 100 — Invités
Router(config)# ip dhcp pool vlan100
Router(dhcp-config)# network 192.168.100.0 255.255.255.0
Router(dhcp-config)# default-router 192.168.100.254
Router(dhcp-config)# lease 10

Router(dhcp-config)# end
Router# write memory
🔍 Vérifications DHCP
Verification
Router# show ip dhcp pool
Router# show ip dhcp binding
Router# show ip dhcp conflict

🛡️ ④ ACL — Contrôle inter-VLAN

🔒
Politique de sécurité : tout ce qui n'est pas explicitement autorisé est INTERDIT (deny all implicite).

Règles de communication

VLAN Source VLAN Destination Statut
🏭 Production (10) VLAN 40 Autorisé
🏢 Direction (20) VLAN 40 Autorisé
👥 Invité (100) Tous Interdit
Tout autre trafic Tout Interdit (implicite)

Configuration des ACL étendues

Cisco IOS 
Router# configure terminal

! ACL VLAN 10 — Production : autorisé vers VLAN 40 uniquement
Router(config)# ip access-list extended ACL_VLAN10
Router(config-ext-nacl)# permit ip 192.168.10.0 0.0.0.255 192.168.40.0 0.0.0.255
Router(config-ext-nacl)# deny ip any any

! ACL VLAN 20 — Direction : autorisé vers VLAN 40 uniquement
Router(config)# ip access-list extended ACL_VLAN20
Router(config-ext-nacl)# permit ip 192.168.20.0 0.0.0.255 192.168.40.0 0.0.0.255
Router(config-ext-nacl)# deny ip any any

! ACL VLAN 100 — Invités : aucune communication inter-VLAN
Router(config)# ip access-list extended ACL_VLAN100
Router(config-ext-nacl)# deny ip any any

! Application des ACL en entrée sur les sous-interfaces
Router(config)# interface fa0/1.10
Router(config-subif)# ip access-group ACL_VLAN10 in
Router(config)# interface fa0/1.20
Router(config-subif)# ip access-group ACL_VLAN20 in
Router(config)# interface fa0/1.100
Router(config-subif)# ip access-group ACL_VLAN100 in

Router(config)# end
Router# write memory
⚠️
Les ACL sont appliquées en direction in sur les sous-interfaces pour filtrer le trafic entrant depuis chaque VLAN. L'ordre des règles est important — la première règle correspondante est appliquée.

📡 ⑤ Point d'Accès Cisco AP1231G

5.1 — Création des VLANs et SSID

Les identifiants de VLANs doivent être identiques à ceux du switch. Chaque SSID est associé à son VLAN correspondant.

Cisco IOS — AP 
AP> enable
AP# configure terminal

! Association nom VLAN ↔ identifiant
AP(config)# dot11 vlan-name production vlan 10
AP(config)# dot11 vlan-name direction vlan 20
AP(config)# dot11 vlan-name invite vlan 100

! SSID Production — VLAN 10 — chiffrement TKIP
AP(config)# dot11 ssid Production
AP(config-ssid)# vlan 10
AP(config-ssid)# authentication open
AP(config-ssid)# authentication key-management wpa
AP(config-ssid)# wpa-psk ascii MotDePasseProduction1
AP(config-ssid)# mbssid guest-mode

! SSID Direction — VLAN 20 — chiffrement AES
AP(config)# dot11 ssid Direction
AP(config-ssid)# vlan 20
AP(config-ssid)# authentication open
AP(config-ssid)# authentication key-management wpa
AP(config-ssid)# wpa-psk ascii MotDePasseDirection1
AP(config-ssid)# mbssid guest-mode

! SSID Invité — VLAN 100 — ouvert
AP(config)# dot11 ssid Invite
AP(config-ssid)# vlan 100
AP(config-ssid)# authentication open
AP(config-ssid)# mbssid guest-mode
AP(config-ssid)# exit

5.2 — Interface Radio + Chiffrement

🔑
TKIP (WPA) → VLAN 10 Production   |   AES-CCMP (WPA2) → VLAN 20 Direction
AES est plus robuste que TKIP et recommandé pour les environnements sensibles.
Cisco IOS — AP 
! Activation interface radio 802.11b/g et diffusion multi-SSID
AP(config)# interface dot11radio 0
AP(config-if)# no shutdown
AP(config-if)# mbssid

! Association des SSID à l'interface radio
AP(config-if)# ssid Production
AP(config-if)# ssid Direction
AP(config-if)# ssid Invite

! Chiffrement TKIP pour VLAN 10 (Production)
AP(config-if)# encryption vlan 10 mode ciphers tkip

! Chiffrement AES (CCMP) pour VLAN 20 (Direction)
AP(config-if)# encryption vlan 20 mode ciphers aes-ccm

! Réduction de la puissance d'émission (cahier des charges)
AP(config-if)# power local cck 1

AP(config-if)# end
AP# write memory

🧪 ⑥ Vérifications et Tests

📟 Commandes de vérification — Switch
Cisco IOS
Switch# show vlan brief            ! VLANs et affectation des ports
Switch# show interfaces trunk       ! Liens trunk actifs
Switch# show ip interface brief     ! Résumé des interfaces
🌐 Commandes de vérification — Routeur
Cisco IOS
Router# show ip interface brief     ! État des sous-interfaces
Router# show ip dhcp pool           ! Pools DHCP configurés
Router# show ip dhcp binding        ! Baux DHCP attribués
Router# show ip access-lists        ! ACL et compteurs
Router# show ip nat translations    ! Table NAT active

Procédure de tests

✅ Résultat attendu

🟢
Fonctionnel
Chaque poste reçoit une IP de son VLAN · Les VLANs communiquent via le routeur · Le Wi-Fi respecte la segmentation · Le switch est administrable à distance · Accès Internet via NAT/PAT
🔐
Sécurité
VLAN Production chiffré en TKIP · VLAN Direction chiffré en AES · VLAN Invité sans accès inter-VLAN · Politique DENY ALL implicite

SIO2A Bloc 2 — Architecture Wifi sécurisée — Cisco AP1231G · Switch · Routeur